Nach einer so genannten Phishing-Attacke im Juli dieses Jahres arbeitet das Landratsamt an mehreren Maßnahmen, damit es nicht abermals zu einem derartigen IT-Sicherheitsvorfall oder ähnlichen Angriffen kommt. Das geht aus dem Abschlussbericht zu der Attacke hervor, den die IT-Abteilung nun vorgelegt hat. „Wir müssen und wollen uns noch besser schützen“, so der IT-Abteilungsleiter Marc Beysel.
So wurde zum Beispiel kurzfristig ein Phish-Alarm-Button installiert, mit dem Mitarbeitende der IT-Abteilung verdächtige Mails melden können. Außerdem werden mittelfristig mehrere technische Vorkehrungen getroffen: So sollen beispielsweise gefährliche E-Mails automatisch erkannt und aus Postfächern entfernt sowie Angriffsflächen deutlich reduziert werden. Zudem soll auf Sicherheitsvorfälle noch schneller reagiert werden können. Überdies soll die IT-Infrastruktur im Rahmen einer langfristigen Sicherheitsstrategie mit „robusten Schutzmechanismen“ ausgerüstet werden. Schließlich werden die bereits laufenden Schulungen für mehr IT-Sicherheit fortgesetzt. Diese werden online angeboten und sind für die Mitarbeitenden verpflichtend.
Wie berichtet, war das Landratsamt im Sommer Opfer einer Phishing-Attacke geworden. Deren Ziel war, Mail-Adressen zu sammeln, um mit ihnen im nächsten Schritt massenhaft weitere Mails zu generieren. Diese sollten den Eindruck erwecken, als kämen sie von der Behörde – mit der Absicht, bei den Empfängern weitere Daten abzugreifen.
Die Betrüger hatten Hunderte von Mails an die Kreisverwaltung geschickt und es so aussehen lassen, als kämen diese von der eigenen IT-Abteilung. Letztlich haben nicht mehr zwei Mitarbeitende ihre Benutzerdaten in die Phishing-URL eingegeben.
Aber selbst diese geringe Zahl von hatte erhebliche Folgen, denn mit diesen beiden „odenwaldkreis.de“-Accounts hat der Angreifer mehr als 150.000 Phishing-Mails ans mehr als 24.000 Domains verschickt. Interessant dabei ist, dass es sich bei den Empfängern oft um öffentliche Organisationen wie Stadt- oder Kreisverwaltungen, gemeinnützige Organisationen, Universitäten oder Forschungseinrichtungen handelt. Der Angreifer ist also offenbar am öffentlichen Sektor interessiert. Das könnte auf einen staatlich unterstützen Angreifer beziehungsweise eine Gruppe mit geopolitischen Motiven hinweisen, wie der Abschlussbericht festhält. Identifizieren lässt der Angreifer aber nicht.
So gravierend der Vorfall war, ist die gute Nachricht, dass aus dem Landratsamt keine sensiblen Daten von Bürgerinnen und Bürgern abgegriffen wurden.
Die IT-Abteilung hatte sofort nach Bekanntwerden des Vorfalls Gegenmaßnahmen ergriffen und zum Beispiel die beiden betroffenen Accounts gesperrt sowie die entsprechenden Rechner außer Betrieb genommen, um die Folgen so gering wie möglich zu halten. Insgesamt waren im Rahmen der Sicherheitsüberprüfung rund 40 Mail-Accounts von Mitarbeitenden unter die Lupe genommen worden.